1 – L’audit à distance, c’est quoi ?
L’IAF (International Accreditation Forum) a défini dès 2008 les règles à respecter pour organiser et réaliser des audits à distance. Elle a fait évoluer ces règles en 2018. La version en vigueur est la « IAF MD4:2018 » téléchargeable à partir du lien suivant : https://tools.cofrac.fr/documentation/IAF-MD4.
Les audits à distance ont été, jusque là, très peu mis en oeuvre, mais les organismes de certification souhaitent les développer et les mesures de confinement liées au COVID-19 vont probablement accélérer les choses.
Les audits à distance remplacent les audits sur site, au moins en partie, en utilisant des outils techniques pour collecter des informations, interroger une organisation auditée, ….
2 – Quels types d’audits peuvent être réalisés à distance ?
Certains contextes sont plus propices la réalisation d’audit à distance, par exemple :
– audit d’organisations sans sites physiques (c’est-à-dire uniquement des sites virtuels selon IAF MD 1). Dans ce cas, l’audit peut-être fait entièrement à distance.
– audits de suivi de système de management pour lesquels l’auditeur en a fait la préconisation dans le rapport de l’audit précédent, (par exemple pour les audits ISO 14001, 50001, 45001, les exigences du chapitre 6 peuvent être vues à distance à condition que l’auditeur soit déjà allé sur le site).
– audit de fonctions support,
– audit d’activités de services (certification de service ou certification de système de management) pour lesquelles il n’est pas prévu dans le référentiel d’observer l’activité
– audit de petits sites excentrés,
– audit d’activités secondaires, limitées et réalisées sur un site spécifique.
Certains types d’audits ne peuvent pas être réalisés à distance :
– IATF 16949
– IRIS
– ISO/CEI 17024 (certification de compétence, réalisée sur la base d’un examen)
– NFX 50-091 (qualification d’entreprises, réalisée sur la base d’une évaluation documentaire)
– …
D’autres référentiels font, par ailleurs, l’objet de restrictions partielles :
– EN 9104-1 : audit à distance limité à 30% maximum du temps total de l’audit sur site
– ISO 13485 : non autorisé pour les activités de fabrication, production (§ 6 et 7)
– ISO 50001, ISO 45001, ISO 14001 : non autorisé pour les sites et périmètres présentant des classes de risque élevées ni pour les activités de pilotage des processus et des risques
– ISO 27000 : non autorisé pour les activités de gestion de la sécurité physique du site (§ 6)
3 – Analyse de faisabilité
L’organisme de certification doit informer le client de la possibilité de réaliser une partie des audits à distance.
Si le client opte pour cette solution, l’organisme de certification doit évaluer avec le client la proportion d’audit à distance réalisable afin de garantir que des résultats d’audit comparables à l’audit sur site peuvent être obtenus avec l’audit à distance. Elle s’appuie sur une évaluation documentée des risques: maturité du système ou de l’organisation, niveau de risque du secteur d’activité, complexité de l’activité du client, référentiel concerné…
La faisabilité des audits à distance dépend des situations :
– Faisabilité très bonne, risque faible : Entrevues ou réunions qui se déroulent habituellement dans une salle de réunion où des présentations sont faites et des documents sont examinés
– Faisabilité bonne, risque faible : Examen de données provenant de bases de données, avec sélection et test sur des échantillons dans les outils informatiques
– Faisabilité modérée, risque faible : Examen de documents papier existants par caméra ou scanner (avec transmission ultérieure)
– Faisabilité modérée à mauvaise, risque moyen : Visites avec transmission vidéo, évaluation de la disposition opérationnelle des postes et lieux de travail (pièces et autres équipements…)
– Faisabilité faible, risque moyen : Entrevues avec des employés qui ne sont pas habitués à la visioconférence; Entretiens avec des employés pour lesquels l’observation des signaux non verbaux est importante (Par exemple : quand une démonstration des méthodes de travail sur machines est nécessaire)
– Faisabilité très faible, risque élevé : Evaluation de produits en production avec échantillonnage; Lorsque les exigences de confidentialité ne peuvent être satisfaites par des techniques à distance; Tests dans lesquels, outre la vue et l’ouïe, d’autres sens sont également sollicités (par exemple : la perception de la température, les courants d’air, le sens du toucher pour la rugosité) ou dans lesquels des falsifications peuvent facilement se produire en raison de la transmission (évaluation de l’éclairage, des couleurs, …)
Une dérogation doit être formalisée pour toute demande portant sur la réalisation :
– d’un audit initial (étape 1 et étape 2) avec plus de 50% du temps total réalisé à distance, – d’un audit de renouvellement avec plus de 75% du temps total réalisé à distance.
Il n’y a pas de limitation de durée de l’audit à distance pour un audit de surveillance.
4 – Technologies d’information et communication
Un audit à distance peut être réalisé avec différentes Technologies d’information et communication (TIC) qui sont utilisés pour examiner des documents, interviewer les audités, restituer des constats, tels que :
– Téléphone
– Système de visio ou téléconférence qui permet la vidéoconférence, les réunions en ligne, le chat et la collaboration mobile (ex : Zoom)
– Système de transfert de données (ex : cloud privé de l’organisme de certification)
Le responsable d’audit doit tester les moyens techniques avec le client en amont de l’audit pour vérifier la faisabilité de l’audit. Il s’assure que les équipements et les logiciels sont compatibles et fonctionnent en réseau avec ses propres équipements.
Si l’usage des solutions de conférence à distance et/ou de partage des documents s’avère inadapté, l’usage de la technologie du client est envisageable. Dans le cas où la technologie utilisée est celle du client, ce dernier est responsable des paramètres de sécurité et de confidentialité liés à l’outil utilisé.
Si aucune solution technologique de remplacement n’est possible, il est alors nécessaire de planifier un audit de substitution en présentiel.
Les compétences liées à la sécurité informatique et la confidentialité des données manipulées par l’auditeur sont couvertes par les engagements contractuels de l’auditeur.
5 -Planification et réalisation de l’audit
Le temps des audits à distance compte pour du temps sur site à équivalence. Les audits à distance ne sont pas destinés à réduire la durée de l’audit, seuls les temps de déplacement sont impactés : pour un audit donné comprenant de l’audit à distance, la durée totale ne doit pas être inférieure à celle du même audit qui aurait été réalisé en présentiel.
L’auditeur peut effectuer les audits à distance à partir de son bureau ou d’un autre endroit approprié (c’est à dire respectant des règles de confidentialité, sécurité –notamment du réseau wifi- et de tranquillité) ou de l’un des sites de l’organisation auditée.
Sauf instruction contraire spécifique au schéma de certification concerné, la réalisation de la partie d’audit à distance d’un audit peut s’effectuer de manière segmentée et discontinue et s’étaler sur plusieurs jours. Il n’est pas nécessaire que la partie d’audit sur site et d’audit à distance soit contiguë.
